Auf der PacSec-Konfererenz in der japanischen Hauptstadt Tokio findet auch wieder ein Hacker-Wettbewerb unter dem Titel MobilePwn2Own statt. Hier führte der Sicherheitsforscher Guang Gong von Quihoo 360 einen Exploit für Google Chrome unter Android vor, an dem er drei Monate lang gearbeitet hatte. Der Angriff ermöglicht es, die Kontrolle über ein Smartphone zu übernehmen, wenn eine entsprechend präparierte Webseite besucht wird.
Die Besonderheit dieses Exploits ist, dass im Gegensatz zu vielen anderen Angriffen nicht mehrere Sicherheitslücken in einzelnen Schritten ausgenutzt werden. Stattdessen wird eine nicht näher bezeichnete Sicherheitslücke in der Verarbeitung von JavaScript in Google Chrome in einem einzigen Schritt so eingesetzt, dass im Hintergrund unbemerkt durch den Nutzer beliebige Software installiert werden kann. Damit könnten Angreifer das Smartphone komplett kontrollieren, auch wenn während des Wettbewerbs zu Demonstrationszwecken nur ein kleines Spiel installiert wurde.
Laut den Sicherheitsexperten sollte dieser Angriff auf jedem Android-Smartphone funktionieren, da die JavaScript-Engine direkt das Ziel ist. Google hat die Details zu dieser Sicherheitslücke erhalten und wird vermutlich auch eine Belohnung auszahlen, auch wenn das Unternehmen selbst gar nicht auf dem Wettbewerb vertreten war.
Eine Stellungnahme von Google zu der gefundenen Sicherheitslücke, die alle Android-Versionen mit der neuesten Version von Google Chrome betrifft, gibt es bislang noch nicht. Von den Veranstaltern der PacSec wird Gong aber immerhin auf die CanSecWest-Konferenz im März 2016 eingeladen, verbunden mit einem Skiausflug.
Quelle: The Register
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.